COUR D’APPEL DE ROUEN

CH. CIVILE ET COMMERCIALE

ARRET DU 16 MAI 2024

DÉCISION DÉFÉRÉE :

22/01901

Tribunal judiciaire de Rouen du 15 mai 2023

APPELANT :

Monsieur [N] [J]

né le [Date naissance 1] 1956 à [Localité 5]

[Adresse 2]

[Localité 3]

représenté par Me Sophie LE MASNE DE CHERMONT, avocat au barreau de ROUEN

INTIMEE :

S.A. BFORBANK

[Adresse 6]

[Localité 4]

représentée et assistée par Me Edouard POIROT-BOURDAIN de la SELARL HMP AVOCATS, avocat au barreau de ROUEN

COMPOSITION DE LA COUR  :

En application des dispositions de l’article 805 du code de procédure civile, l’affaire a été plaidée et débattue à l’audience du 13 mars 2024 sans opposition des avocats devant M. URBANO, conseiller, rapporteur.

Le magistrat rapporteur a rendu compte des plaidoiries dans le délibéré de la cour composée de :

Mme FOUCHER-GROS, présidente

M. URBANO, conseiller

Mme MENARD-GOGIBU, conseillère

GREFFIER LORS DES DEBATS :

Mme RIFFAULT, greffière

DEBATS :

A l’audience publique du 13 mars 2024, où l’affaire a été mise en délibéré au 16 mai 2024.

ARRET :

CONTRADICTOIRE

Prononcé publiquement le 16 mai 2024, par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile,

signé par Mme FOUCHER-GROS, présidente et par Mme RIFFAULT, greffière.

* *

EXPOSE DES FAITS ET DE LA PROCEDURE

M. [J] est titulaire d’un compte bancaire auprès de la SA Bforbank.

Par acte du 6 mai 2022, il a fait assigner la banque devant le tribunal judiciaire de Rouen aux fins d’obtenir la restitution d’une somme de 8 175 €, que la société Bforbank a refusé de lui rembourser au motif que la somme avait été débitée en exécution d’opérations litigieuses effectuées via Apple Pay après validation via un SMS envoyé sur le téléphone de M. [J] et que ce dernier avait commis une négligence grave.

Il déclare avoir été contacté le 17 février 2022 par une personne se présentant comme étant agent de la SA Bforbank lui affirmant que des transactions avaient été effectuées avec sa carte bancaire et lui demandant s’il en était à l’origine ; qu’ayant répondu par la négative, son interlocuteur lui a indiqué qu’il faisait opposition partielle à sa carte bancaire en précisant commander immédiatement une nouvelle carte bancaire, lui indiquant qu’un code sms allait immédiatement lui être envoyé et qu’il devait, pour confirmer la commande de la nouvelle carte, le lui communiquer, ce qu’il a M. [J] a fait ; qu’une heure après cet appel, M. [J] s’est rendu compte qu’il avait reçu 25 sms de sa banque l’informant que 27 opérations avaient été réalisées auprès d’un PMU via son compte en banque pour un montant total de 8.175 euros.

Il précise avoir immédiatement fait opposition en ligne, avoir appelé Bforbank qui lui a confirmé ne pas l’avoir contacté antérieurement et qu’il a ensuite procédé à un signalement auprès de la gendarmerie.

Par jugement du 15 mai 2023,le tribunal a :

– débouté M. [N] [J] de l’ensemble de ses prétentions, fins et conclusions,

– dit n’y avoir lieu à application de l’article 700 du code de procédure civile,

– dit n’y avoir lieu à écarter l’exécution provisoire,

– condamné M. [N] [J] aux dépens.

M. [N] [J] a interjeté appel de ce jugement par déclaration du 5 juin 2023.

L’ordonnance de clôture a été rendue le 12 mars 2024.

EXPOSE DES PRETENTIONS

Vu les conclusions du 29 août 2023, auxquelles il est renvoyé pour exposé des prétentions et moyens de M. [N] [J] qui demande à la cour de :

– déclarer M. [N] [J] recevable et bien-fondé en son appel,

Y faisant droit,

– infirmer ou en tout état de cause réformer le jugement dont appel en l’ensemble de ses dispositions,

Statuant à nouveau,

– condamner Bforbank à rembourser à M. [J] la somme de 8 175 euros au titre des sommes indûment débitée,

– condamner Bforbank à verser à M. [N] [J] la somme de 1 500 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens,

En toute état de cause,

– condamner Bforbank à verser à M. [N] [J] la somme de 2 000 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens à hauteur d’appel,

M. [J] soutient que :

– la SA Bforbank ne démontre pas l’existence d’une négligence grave de sa part au sens de l’article L133-19 du code monétaire et financier ;

– il a été victime d’une escroquerie d’une particulière sophistication qui ne présentait aucun indice ou anomalie de nature à éveiller sa méfiance ;

– il a 67 ans, n’était pas au fait des technologies des smartphones ou du logiciel ou système Apple Pay, a été victime d’un piratage de ses données personnelles qui étaient connues de l’auteur des faits et qui a réussi à faire en sorte que le numéro de téléphone de la banque s’affiche sur le téléphone de M. [J], ce qui a renforcé sa conviction et il n’a communiqué aucun code bancaire mais un sms ;

– le fait que M. [J] ait exercé, dans le passé, son activité professionnelle dans le domaine bancaire n’implique pas qu’il connaisse toutes les évolutions des fraudes en la matière alors que l’appréciation de son éventuelle faute doit s’effectuer in abstracto;

– il n’a pas pu identifier son conseiller dès lors que Bforbank est une banque dématérialisée ;

– aucune identification forte n’a été appliquée par la SA Bforbank s’agissant des opérations bancaires litigieuses effectuées à distance et la banque ne démontre pas qu’elles n’ont été affectées par aucune déficience technique.

Vu les conclusions du 25 juillet 2023, auxquelles il est renvoyé pour exposé des prétentions et moyens de la société Bforbank. qui demande à la cour de :

– confirmer en toutes ses dispositions le jugement du 15 mai 2023 ayant débouté M. [N] [J] de toutes ses demandes,

– condamner M. [N] [J] à payer la société Bforbank la somme de 3 000 euros au titre de l’article 700 du code de procédure civile ainsi qu’en tous les dépens de la procédure de 1ère instance et d’appel.

La SA Bforbank soutient que :

– le sms qui a été envoyé à M. [J], victime d’une escroquerie dite « vishing » précisait bien qu’il était destiné à activer le système Apple Pay ce qui aurait dû nécessairement attirer son attention ;

– M. [J], qui a terminé sa carrière comme directeur d’une agence bancaire, a commis une négligence grave alors qu’il est habituel que les banques mentionnent sur tous leurs messages adressés à leur clientèle qu’il ne leur sera jamais demandé aucun code confidentiel ;

– le service Apple Pay a été activé conformément à une authentification forte puisque M. [J] a reçu un code par sms sur son téléphone qu’il a communiqué à l’escroc.

L’article L. 133-19, IV et V du code monétaire et financier dispose que :

« IV Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. »

Les articles L133-16 et L133-17 du même code disposent que :

L133-16 : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

L133-17 : « I. ‘ Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

II. ‘ Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L. 518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire tant que le compte du prestataire de services de paiement du bénéficiaire n’a pas été crédité du montant de l’opération de paiement. »

L’article L 133-44 du code monétaire et financier dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017 applicable jusqu’au 11 mars 2023 disposait que :

« I. ‘ Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

II. ‘ Pour les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.

III. ‘ En ce qui concerne l’obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

IV. ‘ Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de paiement fournissant un service d’initiation de paiement et le prestataire de services de paiement fournissant le service d’information sur les comptes à se fonder sur ses procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement fournissant le service d’initiation de paiement intervient, conformément aux I, II et III. »

Il résulte de l’article 34, VIII, 3°, de l’ordonnance n° 2017-1252 du 9 août 2017, que ce dernier texte est entré en vigueur le 14 septembre 2019, dix-huit mois après l’entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication.

Il ressort de ces textes que, sauf agissement frauduleux ou négligence grave à certaines obligations déterminées de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur.

La SA Bforbank précise que l’escroquerie dont a été victime M. [J] , dite « vishing », s’est déroulée comme suit :

– l’escroc, qui bénéficiait de la totalité des informations portées sur la carte bancaire de M. [J] (vraisemblablement récupérée à l’occasion d’une opération de paiement sans contact par une prise de photographie discrète) a installé sur son propre téléphone portable, de type iPhone, l’application « Apple Pay » ;

– cette application permet d’utiliser un téléphone mobile de type iPhone comme une carte de paiement sans contact étant précisé qu’il est nécessaire, en posant son téléphone sur le terminal de paiement, d’utiliser son empreinte digitale pour authentifier le paiement  et qu’il est également nécessaire d’entrer dans le logiciel Apple Pay toutes les références d’une carte bancaire, cette carte permettant le débit du compte bancaire lors de l’utilisation du système ;

– l’escroc a entré les coordonnées de la carte bancaire de M. [J] dans son application Apple Pay, et a ensuite téléphoné à M. [J], en se présentant comme un représentant de la banque Bforbank, pour obtenir communication du SMS provenant du système Apple Pay permettant de valider la carte bancaire ainsi entrée dans l’application ;

– une fois ce SMS obtenu, la carte bancaire de M. [J] a été rattachée à l’iPhone de l’escroc qui a pu l’utiliser pour procéder à des paiements ;

– il a été sans incidence que M. [N] [J] n’ait pas détenu d’iPhone.

La banque soutient qu’en communiquant à l’escroc le code qui lui avait été adressé et qui mentionnait expressément qu’il avait pour objet d’activer le système Apple Pay alors que, selon M. [J], ce code avait pour objet de confirmer la mise en opposition de sa carte bancaire prétendument fraudée, M. [J] a commis une négligence grave au sens de l’article L 133-19 IV du code monétaire et financier.

Cependant, ne constitue une négligence grave que celle qui porte sur les obligations mentionnées aux articles L133-16 et L133-17 du code monétaire et financier, c’est-à-dire :

– l’insuffisance de mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées s’agissant de l’instrument de paiement reçu par l’utilisateur de services de paiement ;

– l’utilisation de l’instrument de paiement qu’il a reçu en méconnaissance des conditions régissant sa délivrance et son utilisation ;

– le retard dans l’information donnée à la banque par l’utilisateur des services de paiement qui a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

La négligence grave ne peut être déduite de la seule utilisation de données confidentielles pour effectuer les opérations frauduleuses. La banque qui supporte la charge de la preuve de cette négligence par son client de démontre pas que M. [J] a volontairement ou par négligence grave, remis à l’escroc les informations personnelles liées à sa carte bancaire. Il n’est pas rapporté davantage de preuve que M. [J] savait que l’escroc avait utilisé ces dernières pour enregistrer sa carte bancaire sur l’application Apple Pay qui n’avait été installée que sur le téléphone de l’escroc et que M. [J] savait qu’un compte Apple Pay avait été ouvert en son nom reliée à sa carte bancaire.

Dès lors qu’aucun instrument de paiement « Apple Pay » n’avait été remis par la banque à M. [J] et qu’il ignorait même qu’un tel système avait été ouvert à son nom et avait été relié à sa carte bancaire, la communication par M. [J] à l’escroc du code reçu par sms permettant l’activation d’un compte Apple Pay ne caractérise pas une méconnaissance de ses obligations telles que décrites par les articles L133-16 et

L133-17 du code monétaire et financier.

Par ailleurs, dès lors que le système Apple Pay utilisé par l’escroc a permis le débit du compte bancaire de M. [J] de 27 opérations de 300 euros et d’une opération de 75 euros alors qu’il s’agissait d’un paiement électronique qui avait été exécuté par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse, il appartenait à la SA Bforbank d’exiger une identification forte du payeur, en l’espèce M. [J], étant observé qu’il n’est pas contesté que le téléphone iPhone utilisé par l’escroc pour procéder à ces multiples paiements était totalement distinct de celui utilisé par M. [J] et qu’il importe peu à cet égard que l’escroc ait pu faire authentifier les opérations frauduleuses avec sa propre empreinte digitale sur son propre téléphone.

Les opérations frauduleuses ayant porté sur 8 175 euros et la SA Bforbank ne démontrant ni la négligence grave de M. [J] et ayant omis de faire authentifier fortement ces opérations par M. [J], le jugement entrepris sera infirmé en toutes ses dispositions et la SA Bforbank sera condamnée à payer à M. [J] la somme de 8 175 euros.

La cour statuant par arrêt contradictoire ;

Infirme le jugement du tribunal judiciaire de Rouen du 15 mai 2023 en toutes ses dispositions ;

Statuant à nouveau :

Condamne la SA Bforbank à payer à M. [J] la somme de 8 175 euros ;

Y ajoutant :

Condamne la SA Bforbank aux dépens de première instance et d’appel ;

Condamne la SA Bforbank à payer à M. [J] la somme de 2000 euros au titre de l’article 700 du code de procédure civile.

La greffière, La présidente,